L3S10N

**Nome do software vulnerável e versões afetadas** Versões 18.0 a 18.10 do Zentao **Descrição** Foi descoberta uma vulnerabilidade de execução remota de código no Zentao, afetando seu método `checkConnection`. A vulnerabilidade pode ser explorada por meio do endpoint `/app/zentao/module/repo/model.php`, permitindo a execução remota de código. **Recomendações** Para as versões 18.0 a 18.10, considere desativar o método `checkConnection` como uma solução temporária até que um patch esteja disponível. Restrinja o acesso ao endpoint /app/zentao/module/repo/model.php para minimizar o risco de exploração.

**Name of the Vulnerable Software and Affected Versions** ZenTao versions 16.4 through 18.0.beta1 **Description** The issue allows for SQL injection after logging in with any user, by constructing a special request and sending it to the `importNotice` function. This enables the completion of SQL injection. **Recommendations** For versions 16.4 through 18.0.beta1, consider disabling the `importNotice` function until a patch is available to prevent SQL injection attacks.